Cuando una buena herramienta se vuelve mala: cómo evitar la adicción a las herramientas de IA y que la IA actúe como agente doble.

El desarrollo asistido por IA (o su versión más moderna, «vibe coding») está teniendo un impacto enorme e innovador en la generación de código. Los desarrolladores ya consolidados están adoptando estas herramientas en masa, y los desarrolladores que querían crear software por sí mismos pero carecían de la experiencia necesaria también las están utilizando para crear activos que antes requerían mucho tiempo y dinero. Se espera que esta tecnología marque el comienzo de una nueva era de innovación, pero también plantea una serie de nuevas vulnerabilidades y perfiles de riesgo que los responsables de la seguridad están luchando por mitigar.

Recientemente, InvariantLabs descubrió una grave vulnerabilidad en el MCP (Model Context Protocol), un marco similar a una API que permite que potentes herramientas de IA interactúen de forma autónoma con otro software y bases de datos, lo que ha dado lugar a una nueva categoría de vulnerabilidades especialmente perjudiciales para las empresas: los «ataques de adicción a herramientas» (Tool Docuining Atars).Las principales herramientas de IA, como Windsurf y Cursor, no son una excepción. Dado que cuentan con millones de usuarios, es fundamental disponer de la concienciación y la tecnología necesarias para gestionar estos nuevos problemas de seguridad.

Actualmente, el rendimiento de estas herramientas es el siguiente. Como se ha mencionado anteriormente, son lo suficientemente seguras como para clasificarlas como productos de nivel empresarial. Opinión de los investigadores de seguridad de AWS e Intuit, Vinish Sainarajala e Idan Habler, en un reciente artículo de investigación:«A medida que mejora la autonomía de los sistemas de IA y estos comienzan a interactuar directamente con herramientas externas y datos en tiempo real a través de funciones como MCP, se ha vuelto absolutamente crucial mantener la seguridad de estas interacciones».

Perfil de riesgo del sistema de inteligencia artificial y del protocolo de contexto del modelo

El protocolo de contexto del modelo es un software muy útil. Ha sido creado por Anthropos. Permite una integración más fluida y sin problemas entre los agentes de IA de modelos de lenguaje grandes (LLM) y otras herramientas. Se trata de un potente caso de uso que abre un mundo de posibilidades para interactuar con soluciones de IA de vanguardia entre aplicaciones propietarias y herramientas SaaS críticas para el negocio, como GitHub. Solo hay que empezar a escribir el servidor MCP y establecer las directrices sobre cómo se desea que funcione y cuál es su propósito.

En realidad, el impacto de la tecnología MCP en la seguridad es en su mayor parte positivo. La promesa de una integración más directa entre la pila tecnológica utilizada por los expertos en seguridad y LLM es demasiado atractiva como para ignorarla, y demuestra que, al menos en general, es posible automatizar tareas de seguridad precisas a un nivel que antes era imposible sin escribir y desplegar código personalizado para cada tarea.Teniendo en cuenta que la amplia visibilidad y conectividad entre los datos, las herramientas y el personal son fundamentales para una defensa y planificación de la seguridad eficaces, la interoperabilidad mejorada de LLM que ofrece MCP es una perspectiva interesante para la seguridad empresarial.

Sin embargo, el uso de MCP puede introducir otros vectores de amenaza y, a menos que se gestione con cuidado, puede ampliar considerablemente el alcance de los ataques a las empresas. Como se mencionó anteriormente, los ataques de Invariant Lab y Tool Poison son una nueva categoría de vulnerabilidades que pueden provocar la filtración de datos confidenciales y actividades no autorizadas de modelos de IA, y a partir de ahí, el impacto en la seguridad se vuelve muy grave rápidamente.

Según InvariantLabs, cuando una herramienta MCP contiene comandos maliciosos en su descripción que el usuario no puede ver, pero que el modelo de IA puede leer y ejecutar completamente, se puede producir un ataque de intoxicación de herramientas. De esta manera, se puede engañar a la herramienta para que realice tareas incorrectas sin el conocimiento del usuario. El problema radica en la suposición de MCP de que todas las descripciones de las herramientas son fiables. Esto es música para los oídos de los actores maliciosos.

Estos prestan atención a los siguientes resultados que pueden producirse debido a herramientas dañadas.

• Indicar al modelo de IA que acceda a archivos confidenciales (por ejemplo, claves SSH, archivos de configuración, bases de datos, etc.).
• En un entorno en el que estos actos maliciosos están ocultos por naturaleza a los usuarios que no son conscientes de ellos, se ordena a la IA que extraiga y transmita estos datos.
• Tras la increíblemente sencilla interfaz de usuario para la adquisición y salida de herramientas, se esconde una desconexión entre lo que ve el usuario y lo que hace el modelo de IA.

Se trata de una categoría de vulnerabilidad preocupante, y es casi seguro que se verá con mayor frecuencia a medida que continúe el inevitable aumento del uso de MCP. A medida que avancen los programas de seguridad empresarial, se tomarán medidas cuidadosas para detectar y mitigar estas amenazas, y será fundamental prepararse adecuadamente para que los desarrolladores puedan participar en su resolución.

Por qué solo los desarrolladores con conocimientos de seguridad deben utilizar herramientas de IA para agentes

Las herramientas de codificación con IA agencial se consideran la próxima generación de la codificación asistida por IA y ofrecen funciones que mejoran la eficiencia, la productividad y la flexibilidad del desarrollo de software. Son especialmente útiles gracias a su capacidad mejorada para comprender el contexto y la intención, pero no están libres de amenazas como la inyección inmediata, las alucinaciones o la manipulación del comportamiento por parte de los atacantes.

Los desarrolladores son la línea de defensa que distingue entre los buenos y los malos compromisos de código, y mantener una aguda capacidad de pensamiento crítico y de seguridad será fundamental para el futuro del desarrollo de software de seguridad.

Los resultados de la IA no deben implementarse con una confianza ciega. Los desarrolladores con experiencia en seguridad que aplican un pensamiento crítico adecuado a cada situación pueden aprovechar de forma segura la mejora de la productividad que ofrece esta tecnología. No obstante, debe existir un entorno de programación en pareja en el que expertos humanos puedan evaluar las tareas generadas por la herramienta, modelar las amenazas y, finalmente, dar su aprobación.

Descubra cómo los desarrolladores pueden utilizar la IA para mejorar sus habilidades y aumentar su productividad. Aquí.

Más información sobre técnicas de relajación prácticas y los últimos artículos de investigación.

Se prevé que las herramientas de codificación de IA y la tecnología MCP serán elementos importantes para el futuro de la ciberseguridad, pero es importante no dar nada por sentado antes de comprobarlo detenidamente.

Nara Yara y Habulus describen en detalle una estrategia integral de mitigación para implementar MCP a nivel empresarial y gestionar los riesgos de forma continua. En última instancia, se centra en los principios de defensa en profundidad y confianza cero, y aborda explícitamente el perfil de riesgo único que este nuevo ecosistema supone para el entorno empresarial. En particular, para los desarrolladores es esencial cerrar la brecha de conocimientos en las siguientes áreas.

• Certificación y control de acceso: Las herramientas de IA de Agentic tienen la capacidad de resolver problemas y tomar decisiones autónomas para alcanzar los objetivos previstos, al igual que los seres humanos cuando acceden a tareas de ingeniería. Sin embargo, tal y como se ha establecido hasta ahora, no se puede ignorar la supervisión de personas expertas en estos procesos. Los desarrolladores que utilizan estas herramientas en el flujo de trabajo deben comprender exactamente qué derechos de acceso tienen, qué datos pueden buscar o exponer y dónde se pueden compartir.
• Detección y mitigación de amenazas generales: al igual que con la mayoría de los procesos de IA, los usuarios deben ser competentes en el trabajo para detectar posibles fallos e imprecisiones en los resultados de las herramientas. Los desarrolladores deben recibir formación continua y acreditación en estas tecnologías para poder revisar eficazmente los procesos de seguridad. También pueden revisar el código generado por la IA con precisión y autoridad en materia de seguridad.
• Coordinación con las políticas de seguridad y la gobernanza de la IA: se debe informar a los desarrolladores sobre las herramientas autorizadas, proporcionarles oportunidades para aprender las técnicas y darles acceso a dichas herramientas. Para que las confirmaciones sean fiables, tanto los desarrolladores como las herramientas deben someterse a pruebas comparativas de seguridad.

El artículo de investigación recientemente publicado describe la aparición de la codificación Vibra y la codificación asistida por IA, así como las medidas que deben adoptar las empresas para mejorar la próxima generación de ingenieros de software basados en IA. Échale un vistazo y ponte en contacto con nosotros ahora mismo para reforzar tu cohorte de desarrolladores.